CONFICKER
【外部リンク】
http://about-threats.trendmicro.com/Malware.aspx?language=jp&name=CONFICKER
別名: Conficker, Kido, Downadup, Downad
マルウェアタイプ: ワーム
破壊活動の有無: なし
プラットフォーム: Windows 2000, Widnows XP, Windows Server 2003
感染報告の有無 : あり
ワームは、以下のファイルを作成します。
{drive letter}:\autorun.inf
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
%Application Data%\{random file name}.dll
%System%\{random file name}.dll
%System%\{random number}.tmp
%Program Files%\Internet Explorer\{random file name}.dll
%Program Files%\Movie Maker\{random file name}.dll
%User Temp%\{random file name}.dll
{drive letter}:\Recycler\{SID}\{random characters}.{random}
(註:%Application Data%フォルダは、Windows 2000、XP および Server 2003 の場合、通常 "C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming" です。. %System%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では "C:\Windows\System32" です。. %Program Files%フォルダは、Windows 2000、Server 2003、XP (32ビット)、通常 Vista (32ビット) および 7 (32ビット) の場合、通常 "C:\Program Files"、Windows XP (64ビット)、Vista (64ビット) および 7 (64ビット) の場合、通常 "C:\Program Files (x86)" です。. %User Temp%フォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000、XP および Server 2003 の場合、"C:\Documents and Settings\<ユーザー名>\Local Settings\Temp"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local\Temp" です。)
ワームは、以下のフォルダを作成します。
{drive letter}:\Recycler\{SID}
自動実行方法
ワームは、自身をシステムサービスとして登録し、Windows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost\
{random characters}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}
ImagePath = "%System Root%\system32\svchost.exe -k"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random characters}\Parameters
ServiceDll = "%System%\{malware file name}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
Type = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
Start = "3"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
ErrorControl = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
ImagePath = "%System%\{random number}.tmp"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
DisplayName = "{random service name}"
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "rundll32.exe {malware path and file name}, Parameter"
他のシステム変更
ワームは、インストールの過程で、以下のレジストリ値を追加します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
dl = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Applets
ds = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
dl = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Applets
ds = "0"
ワームは、以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
TcpNumConnections = "00FFFFFE"
(註:変更前の上記レジストリ値は、「user-defined」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"
(註:変更前の上記レジストリ値は、「2」となります。)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"
(註:変更前の上記レジストリ値は、「1」となります。)
ダウンロード活動
ワームは、以下のWebサイトにアクセスし、不正なファイルをダウンロードして実行します。
http://{DGA IP address}/search?q=0
その他
ワームは、以下のWebサイトにアクセスして感染コンピュータのIPアドレスを収集します。
http://www.getmyip.org
http://www.whatsmyipaddress.com
http://www.whatismyip.org
http://checkip.dyndns.org
ワームは、以下のタイムサーバにアクセスし、現在の日付を確認します。
myspace.com
msn.com
ebay.com
cnn.com
aol.com
w3.org
ask.com
yahoo.com
google.com
baidu.com
--
注目の投稿
cURL error 60: SSL certificate problem: unable to get local issuer certificate
cURL error 60: SSL certificate problem: unable to get local issuer certificate 更新失敗: ダウンロードに失敗しました。 cURL error 60: SSL certificate problem: ...
人気の投稿
-
n117 データアクセスに制限がかかっています 【外部リンク】 https://id.smt.docomo.ne.jp/src/utility/errorcode_list.html dアカウント設定のエラーコードと対処方法 エラーコード一覧(2019年7月...
-
PS Vita / PS Vita TV のエラーコード 【外部リンク】 https://www.playstation.com/ja-jp/support/hardware/psvita-problem-reading-disc/ PlayStationVita / Pla...
-
【外部リンク】 https://discussionsjapan.apple.com/thread/10179313 このメッセージはサーバからダウンロードされていません このメッセージはサーバからダウンロードされていません。 機種変更 この サーバ から ダウンロー...
-
au ID セッションタイムアウトになりました。再度接続してください。(CCAE0003) ※何度も、このエラーが表示される場合は、ご利用のブラウザでCookieを受け入れる設定に変更を行ってください。 【外部リンク】 https://id.auone.jp/age/...
-
【外部リンク】 https://faq.gmo-pg.com/service/Detail.aspx?id=1217 エラーコード/ 【E21】E21020001 エラーについて 3Dセキュア認証エラーの際、返却されるエラーコードです。 ご利...